Ocena Zgodności CRA: Przewodnik Decyzyjny Moduł A vs B+C vs H
Jak wybrać właściwą ścieżkę oceny zgodności dla Twojego produktu. Obejmuje kwalifikowalność do samooceny, wymagania Jednostek Notyfikowanych i praktyczną implementację dla każdego modułu.
W tym artykule
Twoja ścieżka oceny zgodności CRA determinuje koszty, harmonogram i zależności zewnętrzne. Wybierz źle, a stracisz miesiące i tysiące euro. Wybierz dobrze, a będziesz mieć jasną drogę do oznakowania CE.
Ten przewodnik pomoże Ci wybrać właściwy moduł oceny zgodności i zrozumieć, co każdy z nich obejmuje.
Podsumowanie
- Moduł A (Samoocena): Dostępny dla produktów Default i Ważna Klasa I (jeśli stosujesz standardy zharmonizowane)
- Moduł B+C (Strona Trzecia): Wymagany dla Ważna Klasa II, opcjonalny dla innych
- Moduł H (Pełne QA): Alternatywa dla B+C dla organizacji z wieloma produktami
- Klasyfikacja produktu określa, które opcje są dostępne
- Różnica kosztów: Moduł A (~€5-20K wewnętrzne), B+C (~€30-100K+), H (~€50K+ setup + bieżące)
Wskazówka: Około 90% produktów należy do kategorii Default i może korzystać z Modułu A (samoocena). To najszybsza i najtańsza ścieżka do oznakowania CE.
Przegląd Oceny Zgodności
Ocena zgodności to sposób, w jaki demonstrujesz, że Twój produkt spełnia wymagania CRA. Deklaracja Zgodności UE (DoC), którą podpisujesz, deklaruje, że Twój produkt jest zgodny, ale musisz mieć dowody na poparcie tego oświadczenia.
CRA oferuje trzy moduły oceny zgodności:
OPCJE MODUŁÓW WEDŁUG KATEGORII PRODUKTU
┌─────────────────────────────────────────────────────────────┐
│ PRODUKTY DEFAULT │
│ (~90% produktów) │
├─────────────────────────────────────────────────────────────┤
│ Moduł A (Samoocena) ✓ Dozwolony │
│ Moduł B+C (Strona Trzecia) ✓ Dozwolony (opcjonalnie) │
│ Moduł H (Pełne QA) ✓ Dozwolony (opcjonalnie) │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ PRODUKTY IMPORTANT CLASS I │
│ (Załącznik III, Część I) │
├─────────────────────────────────────────────────────────────┤
│ Moduł A (Samoocena) ✓ JEŚLI standardy zharmonizowane│
│ Moduł B+C (Strona Trzecia) ✓ Dozwolony │
│ Moduł H (Pełne QA) ✓ Dozwolony │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ PRODUKTY IMPORTANT CLASS II │
│ (Załącznik III, Część II) │
├─────────────────────────────────────────────────────────────┤
│ Moduł A (Samoocena) ✗ NIE Dozwolony │
│ Moduł B+C (Strona Trzecia) ✓ WYMAGANY │
│ Moduł H (Pełne QA) ✓ Dozwolony │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ PRODUKTY KRYTYCZNE │
│ (Załącznik IV) │
├─────────────────────────────────────────────────────────────┤
│ Moduł A (Samoocena) ✗ NIE Dozwolony │
│ Moduł B+C (Strona Trzecia) ✓ WYMAGANY + EUCC │
│ Moduł H (Pełne QA) ✓ Dozwolony + EUCC │
└─────────────────────────────────────────────────────────────┘
Kiedy Można Stosować Samoocenę Modułu A?
Samoocena. Oceniasz własny produkt względem wymagań CRA.
Kiedy Moduł A Jest Dostępny
- Produkty Default: Zawsze dostępny
- Ważna Klasa I: Tylko jeśli w pełni stosujesz odpowiednie standardy zharmonizowane
Co Oznaczają „Standardy Zharmonizowane"
Dla samooceny Ważna Klasa I musisz stosować standardy zharmonizowane, które:
- Obejmują wymagania zasadnicze Załącznika I
- Są opublikowane w Dzienniku Urzędowym UE
- Są stosowane w całości (nie częściowo)
Jeśli nie istnieje standard zharmonizowany dla Twojego typu produktu, produkty Ważna Klasa I muszą używać Modułu B+C lub H.
Proces Modułu A
OCENA ZGODNOŚCI MODUŁ A
1. FAZA PROJEKTOWANIA
├── Stosuj zasady security-by-design
├── Przeprowadź ocenę ryzyka (wymagania Załącznika I)
├── Dokumentuj architekturę bezpieczeństwa
└── Stosuj standardy zharmonizowane (jeśli Class I)
2. DOKUMENTACJA
├── Utwórz dokumentację techniczną (Załącznik VII)
│ ├── Opis produktu
│ ├── Wyniki oceny ryzyka
│ ├── Dokumentacja projektowa
│ ├── Stosowane standardy
│ ├── Wyniki testów
│ └── SBOM
└── Przygotuj Deklarację Zgodności UE
3. KONTROLE PRODUKCJI
├── Zapewnij, że produkcja utrzymuje zgodność
├── Dokumentuj kontrole jakości
└── Weryfikuj każdą jednostkę (gdzie ma zastosowanie)
4. FINALIZACJA
├── Podpisz Deklarację Zgodności UE
├── Umieść oznakowanie CE
└── Przechowuj dokumentację (10 lat)
Koszty Modułu A
| Element Kosztu | Typowy Zakres | Uwagi |
|---|---|---|
| Ocena ryzyka | €5.000-15.000 | Wewnętrzna lub konsultant |
| Dokumentacja techniczna | €5.000-20.000 | Zależy od złożoności |
| Testy | €2.000-10.000 | Wewnętrzne lub laboratorium |
| Narzędzia SBOM | €0-5.000 | Narzędzia mogą już istnieć |
| Czas personelu wewnętrznego | Zmienny | Często największy koszt |
Typowy zakres całkowity: €15.000-50.000 (koszty wewnętrzne)
Harmonogram Modułu A
| Faza | Czas trwania |
|---|---|
| Ocena ryzyka | 2-4 tygodnie |
| Dokumentacja | 4-8 tygodni |
| Testy | 2-4 tygodnie |
| Przegląd i finalizacja | 1-2 tygodnie |
Typowy całkowity harmonogram: 2-4 miesiące
Kiedy CRA Wymaga Jednostki Notyfikowanej?
Ocena zewnętrzna. Jednostka Notyfikowana bada projekt Twojego produktu.
Kiedy Moduł B+C Jest Wymagany
- Ważna Klasa II: Obowiązkowy
- Produkty krytyczne: Obowiązkowy (plus EUCC)
- Ważna Klasa I: Jeśli nie stosujesz standardów zharmonizowanych
Moduł B: Badanie Typu UE
Jednostka Notyfikowana bada reprezentatywną próbkę (typ) Twojego produktu i wydaje certyfikat.
PROCES MODUŁU B
1. WNIOSEK
├── Wybierz Jednostkę Notyfikowaną
├── Złóż wniosek z:
│ ├── Próbką/ami produktu
│ ├── Dokumentacją techniczną
│ └── Formularzem wniosku
└── Zapłać opłaty początkowe
2. BADANIE
├── JN przegląda dokumentację
├── JN testuje próbkę produktu
├── JN weryfikuje zgodność z Załącznikiem I
└── JN może zażądać dodatkowych info/testów
3. DECYZJA
├── Zgodny → Certyfikat Badania Typu UE
├── Niezgodny → Raport o brakach
└── Jeśli braki: napraw i złóż ponownie
4. CERTYFIKAT
├── Ważny dla ocenianego typu produktu
├── Wymienia warunki i ograniczenia
└── Podlega przeglądowi (typowo 5 lat)
Moduł C: Zgodność z Typem
Po Module B zapewniasz, że produkcja jest zgodna z certyfikowanym typem.
PROCES MODUŁU C
1. KONTROLE PRODUKCJI
├── Zapewnij, że każda jednostka jest zgodna z certyfikowanym typem
├── Dokumentuj procesy produkcji
└── Utrzymuj kontrole jakości
2. DEKLARACJA
├── Odwołaj się do Certyfikatu Badania Typu UE
├── Podpisz Deklarację Zgodności UE
└── Umieść oznakowanie CE
3. BIEŻĄCE
├── Utrzymuj zgodność z certyfikowanym typem
├── Zgłaszaj JN zmiany wpływające na typ
└── Recertyfikuj przy istotnych zmianach
Ostrzeżenie: Opłaty Jednostek Notyfikowanych typowo wynoszą od €30.000 do €100.000+, a czas oczekiwania może sięgać 4-16 tygodni. Odpowiednio zaplanuj budżet i harmonogram.
Koszty Modułu B+C
| Element Kosztu | Typowy Zakres | Uwagi |
|---|---|---|
| Opłata za wniosek JN | €2.000-5.000 | Bezzwrotna |
| Opłata za badanie JN | €15.000-50.000 | Zależy od złożoności |
| Przygotowanie próbek | €1.000-5.000 | Próbki do testów |
| Dokumentacja techniczna | €10.000-30.000 | Musi spełniać wymagania JN |
| Podróż/logistyka | €1.000-5.000 | Jeśli wymagane wizyty na miejscu |
| Naprawa (jeśli potrzebna) | Zmienna | Ponowne testy, korekty dokumentacji |
Typowy zakres całkowity: €30.000-100.000+
Harmonogram Modułu B+C
| Faza | Czas trwania |
|---|---|
| Wybór JN i wniosek | 2-4 tygodnie |
| Przygotowanie dokumentacji | 4-8 tygodni |
| Czas oczekiwania JN | 4-16 tygodni (znacznie się różni) |
| Badanie | 4-8 tygodni |
| Wydanie certyfikatu | 2-4 tygodnie |
Typowy całkowity harmonogram: 4-10 miesięcy
Moduł H: Pełne Zapewnienie Jakości
Podejście systemu zarządzania jakością. JN zatwierdza Twój SZJ dla projektowania, produkcji i testowania.
Kiedy Moduł H Ma Sens
Moduł H jest korzystny gdy:
- Masz wiele produktów wymagających oceny zewnętrznej
- Masz już dojrzały SZJ (ISO 9001, ISO 27001)
- Chcesz ciągłej relacji z JN zamiast badania per produkt
- Wydajesz częste aktualizacje
Moduł H vs B+C: Decyzja
| Czynnik | Moduł B+C | Moduł H |
|---|---|---|
| Liczba produktów | 1-3 produkty | 4+ produktów |
| Istniejący SZJ | Brak dojrzałego SZJ | Dojrzały SZJ istnieje |
| Częstotliwość aktualizacji | Rzadkie aktualizacje | Częste wydania |
| Wielkość organizacji | Mała/średnia | Średnia/duża |
| Koszt początkowy | Niższy | Wyższy |
| Koszt na produkt | Wyższy | Niższy |
| Koszt bieżący | Niższy | Wyższy (nadzór) |
Wskazówka: Moduł H staje się opłacalny przy 4+ produktach. Jeśli masz dojrzały SZJ (ISO 9001, ISO 27001), jest to często lepsza inwestycja długoterminowa.
Zasada: Moduł H staje się opłacalny przy 4+ produktach lub gdy potrzebowałbyś częstych ponownych badań.
Ramy Decyzyjne
Krok 1: Określ Klasyfikację Produktu
Użyj przewodnika klasyfikacji produktów, aby określić: Default, Ważna Klasa I, Ważna Klasa II, lub Krytyczny.
Krok 2: Zidentyfikuj Dostępne Opcje
JEŚLI Default:
Opcje: A, B+C, H
Rekomendacja: Moduł A (chyba że chcesz walidacji zewnętrznej)
JEŚLI Ważna Klasa I:
JEŚLI istnieją standardy zharmonizowane I stosujesz je w pełni:
Opcje: A, B+C, H
Rekomendacja: Moduł A (ze standardami)
W PRZECIWNYM RAZIE:
Opcje: B+C, H
Rekomendacja: B+C (chyba że wiele produktów)
JEŚLI Ważna Klasa II:
Opcje: B+C, H
Rekomendacja: B+C (chyba że wiele produktów lub dojrzały SZJ)
JEŚLI Krytyczny:
Opcje: B+C + EUCC, H + EUCC
Rekomendacja: Zależy od możliwości organizacji
Deklaracja Zgodności UE
Niezależnie od wybranego modułu, musisz wydać Deklarację Zgodności UE.
Wymagana Treść DoC
DEKLARACJA ZGODNOŚCI UE
(Cyber Resilience Act - Rozporządzenie (UE) 2024/2847)
1. Identyfikacja produktu:
[Nazwa produktu, typ, partia, numer(y) seryjne]
2. Nazwa i adres producenta:
[Dane Twojej firmy]
3. Niniejsza deklaracja zgodności wydana zostaje na wyłączną
odpowiedzialność producenta.
4. Przedmiot deklaracji:
[Opis produktu, wystarczający do identyfikowalności]
5. Opisany powyżej przedmiot deklaracji jest zgodny z
odpowiednimi unijnymi przepisami harmonizacyjnymi:
- Rozporządzenie (UE) 2024/2847 (Cyber Resilience Act)
- [Inne mające zastosowanie przepisy]
6. Odniesienia do odpowiednich zastosowanych norm zharmonizowanych
lub odniesienia do specyfikacji, w odniesieniu do których
deklarowana jest zgodność:
[Lista zastosowanych norm, z numerami wersji]
7. W stosownych przypadkach, jednostka notyfikowana:
[Nazwa JN, numer, odniesienie do certyfikatu]
przeprowadziła: [badanie Moduł B/H]
i wydała: [numer certyfikatu]
8. Informacje dodatkowe:
[Okres wsparcia, kontakt do zgłaszania podatności, itp.]
Podpisano w imieniu i na rzecz:
[Imię i nazwisko, stanowisko]
[Miejsce i data wydania]
[Podpis]
Oznakowanie CE
Po ocenie zgodności umieść oznakowanie CE.
Wymagania Oznakowania CE
- Widoczne, czytelne, nieusuwalne
- Minimalna wysokość 5mm
- Prawidłowe proporcje (zgodnie z przepisami)
- Na produkcie lub opakowaniu (jeśli oznakowanie produktu niemożliwe)
- Wraz z numerem Jednostki Notyfikowanej, jeśli użyto Modułu B lub H
Typowe Błędy
Ważne: Samoocena (Moduł A), gdy Twój produkt jest Ważna Klasa II, stanowi nieważną ocenę zgodności. Produkt nie może być legalnie wprowadzony na rynek UE.
Samoocena Gdy Niedozwolona
Problem: Wybór Modułu A dla produktu Ważna Klasa II.
Konsekwencja: Nieważna ocena zgodności. Produkt nie może być legalnie wprowadzony na rynek.
Zapobieganie: Zawsze weryfikuj klasyfikację produktu przed wyborem ścieżki oceny.
Częściowe Stosowanie Standardów
Problem: Powoływanie się na Moduł A dla Ważna Klasa I, stosując tylko częściowo standardy zharmonizowane.
Konsekwencja: Moduł A nie jest dostępny bez pełnego stosowania standardów.
Zapobieganie: Jeśli nie możesz w pełni zastosować standardów, użyj Modułu B+C lub H.
Niewystarczająca Dokumentacja
Problem: Dokumentacja techniczna nie zawiera wymaganej treści dla wybranego modułu.
Konsekwencja: Niemożność wykazania zgodności. DoC nieważna.
Zapobieganie: Używaj checklisty. Przejrzyj wymagania dokumentacyjne dla Twojego konkretnego modułu.
Często Zadawane Pytania
Czy produkt kategorii Default zawsze może skorzystać z Modułu A?
Tak. Produkty Default stanowią około 90% wszystkich produktów z elementami cyfrowymi objętych CRA i zawsze mają dostęp do samooceny Modułu A. Producent samodzielnie ocenia produkt względem wymagań Załącznika I, sporządza dokumentację techniczną i podpisuje Deklarację Zgodności UE. Żadna Jednostka Notyfikowana nie jest w tym procesie wymagana.
Kiedy Jednostka Notyfikowana jest obowiązkowa dla produktów Ważna Klasa I?
Tylko wtedy, gdy producent nie może w pełni zastosować odpowiednich standardów zharmonizowanych opublikowanych w Dzienniku Urzędowym UE. Jeśli standardy dla danego typu produktu istnieją w OJEU i producent stosuje je w całości, Moduł A pozostaje dostępny bez udziału JN. CERT Polska (NASK) monitoruje postęp publikacji standardów zharmonizowanych w Polsce i jest punktem kontaktowym w sprawach krajowych.
Czy wyznaczono już jakiekolwiek Jednostki Notyfikowane dla CRA?
Od kwietnia 2026 roku baza NANDO nie zawiera żadnej wyznaczonej Jednostki Notyfikowanej dla CRA. CERT Polska oraz NASK śledzą postęp procesu wyznaczania w Polsce. Oznacza to, że producenci produktów Ważna Klasa II i Krytycznych nie mogą jeszcze ukończyć oceny zgodności z udziałem strony trzeciej. Producenci w tych kategoriach powinni uwzględnić to opóźnienie w swoich planach zgodności.
Na czym polega ocena zgodności Moduł B+C?
W Module B Jednostka Notyfikowana przegląda dokumentację techniczną producenta, testuje reprezentatywną próbkę produktu i wydaje Certyfikat Badania Typu UE. W Module C producent potwierdza, że produkcja jest zgodna z certyfikowanym typem, a następnie podpisuje Deklarację Zgodności UE, odwołując się do numeru certyfikatu wydanego w Module B.
Czy pełne stosowanie standardów zharmonizowanych zastępuje ocenę Jednostki Notyfikowanej?
Tylko dla produktów Ważna Klasa I. Jeśli producent w pełni stosuje odpowiednie standardy zharmonizowane, Moduł A jest dostępny bez udziału JN. Dla produktów Ważna Klasa II i Krytycznych udział Jednostki Notyfikowanej jest obowiązkowy niezależnie od zastosowanych standardów.
Ile kosztuje ocena zgodności z udziałem Jednostki Notyfikowanej?
Opłata za badanie wynosi typowo od 30 000 do 100 000 EUR lub więcej, w zależności od złożoności produktu. Do tego dochodzi bezzwrotna opłata za wniosek w wysokości od 2 000 do 5 000 EUR. Czas oczekiwania na badanie wynosi od 4 do 16 tygodni. Planując budżet i harmonogram, warto uwzględnić ryzyko opóźnień w kolejce do JN.
Kolejne Kroki
Zarządzasz oceną zgodności CRA dla wielu produktów? CRA Evidence śledzi wybrany moduł oceny dla każdego produktu, przechowuje dokumentację pliku technicznego i monitoruje status wyznaczania Jednostek Notyfikowanych na bieżąco wraz z aktualizacjami bazy NANDO. Po potwierdzeniu modułu zbuduj pakiet dowodów korzystając z przewodnika po dokumentacji technicznej Załącznik VII. Jeśli kategoria produktu nie jest jeszcze pewna, sprawdź przewodnik po klasyfikacji produktów.
Ten artykuł jest dostarczany wyłącznie w celach informacyjnych i nie stanowi porady prawnej. W celu uzyskania konkretnych porad dotyczących zgodności, skonsultuj się z wykwalifikowanym doradcą prawnym.
Powiązane artykuły
Czy CRA dotyczy Twojego produktu?
Odpowiedz na 6 prostych pytań, aby dowiedzieć się, czy Twój produkt podlega pod Cyber Resilience Act UE. Uzyskaj wynik w mniej niż 2 minuty.
Gotowy na osiągnięcie zgodności z CRA?
Zacznij zarządzać swoimi SBOM-ami i dokumentacją zgodności z CRA Evidence.